Frage:
Was bedeutet Mark Shuttleworth mit "wir haben Wurzel"?
HighCommander4
2013-10-27 23:47:55 UTC
view on stackexchange narkive permalink

In einem Blogpost als Antwort auf die Amazon-Datenschutzkontroverse schrieb Mark Shuttleworth:

Vertrauen Sie uns nicht? Ähm, wir haben Wurzel . Sie vertrauen uns Ihre Daten bereits an. Sie vertrauen darauf, dass wir Ihren Computer nicht bei jedem Update vermasseln. Sie vertrauen Debian und Sie vertrauen einem großen Teil der Open Source-Community. Und vor allem vertrauen Sie darauf, dass wir uns darum kümmern, wenn wir uns als Mensch irren.

Was meint er mit "wir haben Wurzel"? Sicherlich hat Canonical nicht Root-Zugriff auf jeden Computer, auf dem Ubuntu ausgeführt wird?

Wenn sie es wollten, würden sie es haben. Das ist die Implikation hier. Wenn Sie ihnen nicht vertrauen, sollten Sie Ubuntu nicht verwenden.
@Oli: Ich glaube, Sie wollten damit sagen, dass er sein eigenes Betriebssystem von Grund auf neu schreiben sollte! Und während er dabei ist, sollte er auch seine eigene Elektronik entwerfen und herstellen. Nur um auf der sicheren Seite zu sein ;)
@IvanKovacevic Ich verstehe, was Sie sagen, aber im Zusammenhang mit dem Vertrauen in Canonical und Ubuntu trifft dies nicht wirklich zu.
@Oli: Ja, aber wem sollten wir vertrauen? Gibt es eine Linux-Distribution oder ein anderes Betriebssystem, das in diesem Zusammenhang wirklich empfohlen werden kann, um gut / vertrauenswürdig oder besser gesagt vertrauenswürdiger zu sein?
wir haben root = wir haben Zugriff.
Fünf antworten:
Ivan Kovacevic
2013-10-28 00:26:57 UTC
view on stackexchange narkive permalink

Der Wortlaut dieses Satzes mag etwas besorgniserregend erscheinen, da er in gewisser Weise impliziert, dass sie Root-Zugriff als bereits installierte und verwendete Hintertür haben. Die Wahrheit ist, dass es nur eine schlechte Formulierung von Mark war und er versuchte zu erklären, dass sie potenziellen Root-Zugriff auf Ihren Computer haben, da jedes Paket-Update als Root ausgeführt wird und sie zu diesem Zeitpunkt alles tun und installieren können, was sie wollen oder wollen alles, was sich möglicherweise aus einem Open-Source-Projekt einschleichen könnte.

Wenn Sie auch die Kommentare zu diesem Blog-Beitrag durchgehen, finden Sie Mark, der die Antwort auf Ihre Frage gibt (sein Benutzername in den Kommentaren lautet 'mark').

Jemand fragte ihn:

Sebastian sagt: ( http://www.markshuttleworth.com/archives/1182#comment-396204)
23. September 2012 um 11:42 Uhr
Ermm. Du hast Wurzel? Details bitte.

und dann antwortete Mark:

Mark sagt: ( http://www.markshuttleworth.com/archives/1182# comment-396225)
23. September 2012 um 13:00 Uhr
@Sebastian - Jedes Paket-Update wird als root installiert.

Unter Unix / Linux-Systemadministratoren wird dies nicht als * schlechte Formulierung * angesehen, sondern als eine gebräuchliche Kurzform, um zu sagen, was Sie hier sagen.
Denken Sie daran, die Unix-Leute haben sogar "move" mit "mv" abgekürzt. Sie sind immer etwas knapp.
Ich `root`, du` / usr / jane`,
Er sollte erwähnen, dass der Kernel, der Ubuntu-Patches enthält, im privilegierten Modus ausgeführt wird.
@MSalters Meine Lieblingssache dabei ist, dass alle kurzen Unix-Befehle implementiert wurden, um zu vermeiden, dass regelmäßig Tintenbänder auf den Teletypen ausgetauscht werden müssen :) Sie sind natürlich auch schneller zu tippen.
Natürlich schließen sich "gemeinsame Abkürzung unter Systemadministratoren" und "schlechte Formulierung" nicht unbedingt gegenseitig aus. Besonders wenn der Wortlaut für Nicht-Systemadministratoren, die in einem öffentlichen Forum zuschauen, bedrohlich klingt.
tylerl
2013-10-28 01:57:37 UTC
view on stackexchange narkive permalink

Sie vertrauen ihnen, weil sie die Software vertreiben, auf der Ihr Computer ausgeführt wird. Ihre Prozesse werden als Root ausgeführt: Sie müssen ihnen vertrauen, da der Computer in ihren Händen liegt, mehr als in Ihren. Während Sie der Administrator des Computers sind, verwenden Sie deren Tools, um Ihre Administratoraufgaben zu erledigen.

Der Punkt, den er macht, ist, dass Sie nur ein Betriebssystem ausführen können, das von einem Anbieter vertrieben wird, dem Sie perfekt und vollständig vertrauen, weil Der Anbieter verfügt über unbegrenzte Leistung in Bezug auf die Computer, auf denen das Betriebssystem ausgeführt wird.

In diesem Fall weist er auf die offensichtliche Absurdität von Schreien hin, dass Canonical durch die Integration von Amazon in die Privatsphäre seiner Benutzer eindringt. Wenn das Unternehmen in Ihre Privatsphäre eindringen wollte, konnte es dies auf viel subtilere und verschlagenere Weise tun. Aber, so argumentiert er, Sie vertrauen Canonical. Sie haben von Anfang an, wenn Sie Ubuntu auf Ihrem Computer ausführen, wie die Tatsache zeigt, dass Sie Ubuntu auf Ihrem Computer ausführen. Wenn Sie ihnen also bereits vertrauen, dass sie alles richtig machen, sollten Sie ihnen vertrauen, dass sie dieses richtig machen.

Es ist keine perfekte Lösung, und ich Ich bin mir nicht sicher, ob es überhaupt ein gültiges Argument ist. Aber das ist sein Argument.

Es mag nicht perfekt sein, aber die Idee, dass die Leute denken, dass Canonical sie mit ihrem OPEN SOURCE OPERATING SYSTEM ausspioniert, ist dumm und muss als dumm herausgestellt werden.
@WarrenP, nein, mit den Bereichen, in denen Sie Ihre Suchdaten direkt an ihre Server senden. Dies bedeutet, dass Sie nicht wissen, wie sie jedes einzelne Zeichen speichern / verwenden, das Sie in den Bindestrich schreiben, daher die Datenschutzbedenken.
Die Idee, dass Canonical * ausspioniert *, ist wahrscheinlich ein wenig albern. Sie haben die Mittel, aber nicht das Motiv. Spionage bringt Canonical keinen Cent ein. Aber was ihnen Geld einbringt, ist, Amazon-Partneranzeigen in Ihr Anwendungsmenü zu setzen, und genau das haben sie getan. Weinen Foul ist wohl angebracht, aber "* Spionage *" ist das falsche Foul zu nennen.
@tylerl: Man kann unmöglich sagen, dass es keine Möglichkeit gibt, von Spionage, Datenverkauf usw. zu profitieren. . .
@ruakh - Ohne Zweifel kann man mit dem Verkauf von Daten Geld verdienen. Aber Sie müssen die richtigen Daten haben, um zu verkaufen. Niemand wird die Liste der Anwendungen kaufen, die ich in Unity eingebe. Niemanden interessierts. Die Angst vor der Privatsphäre basiert auf dieser absurden Vorstellung, dass, weil ** einige ** personenbezogene Daten wertvoll sind, daher ** alle ** personenbezogenen Daten wertvoll sind. Sofern die Daten nicht direkt von einem Käufer verarbeitet werden können, * kümmert es niemanden *.
Sie sind unglaublich naiv, wenn Sie der Meinung sind, dass sich niemand um die Liste der Anwendungen kümmert, die Sie in Unity eingeben.
@nightcracker Wenn Malware die Workstation eines Benutzers infiziert, werden in der Regel Browsersitzungen abgefangen, gespeicherte Kennwörter exportiert, weitere Angriffe ausgeführt und Dutzende anderer Aktivitäten ausgeführt. Eine Malware exportiert jedoch nicht Ihren Suchverlauf. Auch wenn es geht. Es gibt keinen Markt für illegal erhaltene Verhaltensgeschichte. Keine Käufer. Obwohl die zusätzlichen Kosten der Daten für den Hacker Null sind, kann kein Geld verdient werden. Kein Analyse- oder Werbefirma kann Schwarzmarktdaten kaufen, daher sind sie wertlos. Du nennst mich "unglaublich naiv", aber hast du das wirklich durchdacht?
@tylerl Hier könnte es einige Verwirrung geben, ich habe hier über eine legitime Quelle gesprochen. Wenn ein Unternehmen Ihren Suchverlauf rechtmäßig in die Hände bekommen kann, wird es dies auf jeden Fall wollen.
@nightcracker Um * legitim * Abfragedaten in die Hände zu bekommen, müssten sie dies mit Erlaubnis tun, weshalb der finanzielle Anreiz für * Spionage * nicht vorhanden ist. Das bringt uns zurück zu der ursprünglichen Aussage, mit der diese Diskussion begonnen hat: ** Spionage bringt Canonical keinen Cent ein. **
trouble
2013-10-28 01:07:35 UTC
view on stackexchange narkive permalink

Grundsätzlich verfügt jede Distribution über eigene Repository-Server. Dies ist die Standardoption für das installierte System zum Abrufen von Paketen. Dies bedeutet, dass bei der Installation eines neuen Pakets oder beim Herunterladen von Updates diese aus diesen Repositorys heruntergeladen werden.

Sie (wir) vertrauen den Repo-Betreuern, dass die von ihnen hochgeladenen Pakete nicht bösartig sind. Die meisten offiziellen Repositories bieten die Quellen zu den verfügbaren Paketen an, sodass Sie die Quellen theoretisch herunterladen können, um zu sehen, was sie tun, und sie selbst kompilieren können. Aber das macht niemand.

Vor einiger Zeit haben die meisten Paket-Repositorys eine Paketsignaturfunktion implementiert. Jeder Paket-Uploader verfügt über einen persönlichen Signaturschlüssel, mit dem er seine Pakete signiert, bevor er sie in das Repo hochlädt. Dies verhindert, dass ein böswilliger Angreifer (der in den Repository-Server eingebrochen ist) seine geänderten Pakete bereitstellt. Dies hat jedoch keine Auswirkungen auf die Aktionen des Uploaders, der ein modifiziertes Paket bereitstellen könnte.

Die Paketverwaltung in den meisten Distributionen funktioniert so, dass ein Paket systemweit installiert werden muss mit Root-Rechten installiert werden. Jedes Paket verfügt über Hooks, die vor und nach der Installation ausgeführt werden müssen, damit das Setup korrekt ist. Auch diese werden mit Root-Rechten ausgeführt.

Sie können also theoretisch Ihr System aktualisieren und ein schädliches Paket herunterladen, ohne es zu wissen it.

Der Punkt, den Shuttleworth anstrebte, ist, dass sie, wenn sie als Canonical etwas Bösartiges auf unseren Systemen ausführen wollten, bereits einen Weg haben.

The Spooniest
2013-10-28 07:41:12 UTC
view on stackexchange narkive permalink

Ubuntus Installationsprogramm und Paketmanager werden als Root ausgeführt. Sie müssen: Nur so kann ein Betriebssystem installiert werden. Außerdem werden Programme installiert, die als Root ausgeführt werden. Andere Linux-Distributionen (und auch andere Betriebssysteme) sind nicht anders, auch wenn sich die genauen Details ein wenig ändern können: Ubuntu ist zufällig im Rahmen dieser Diskussion. Daran führt im Grunde kein Weg vorbei, da ein Root-Account unter anderem dazu dient, dass niemand anderes diese Dinge tun kann, aber jemand in der Lage sein muss, sie zu tun.

Aus diesem Grund wäre es für den Hersteller eines Betriebssystems trivial, in eine Hintertür zu schlüpfen, und die Chancen stehen gut, dass Sie es niemals bemerken würden. Aus praktischen Gründen führt kein Weg daran vorbei. Sie könnten irgendwie schließen, wenn Sie Ihr System selbst mit Linux From Scratch erstellen. Dies erfordert jedoch das Erstellen Ihres Systems selbst und alles, was dazu gehört (und tatsächlich erfordert die LFS-Methode, dass Sie dies zweimal tun). . Dies ist nicht etwas, wofür die meisten Menschen Zeit, Geld oder Fachwissen haben, und selbst wenn dies der Fall ist, ist es immer noch keine narrensichere Methode, um dieses Problem anzugehen. Das Endergebnis ist, dass Sie im Grunde keine andere Wahl haben, als dem Hersteller Ihres Betriebssystems zu vertrauen.

Die Folge davon ist, dass Sie sicherstellen müssen, dass der Hersteller Ihres Betriebssystems jemand ist, dem Sie vertrauen können . In diesem Teil hält Shuttleworths Argumentation nicht so gut. Seine Haltung liest sich viel mehr wie eine Konfrontation "Sie müssen uns sowieso vertrauen, damit Sie sich nur darum kümmern", anstatt zu versuchen, die Bedenken der Menschen tatsächlich anzusprechen oder sogar anzuerkennen.

Adi
2013-10-28 15:20:41 UTC
view on stackexchange narkive permalink

Wenn Sie sudo apt-get upgrade ausführen, laden Sie ein .deb -Paket aus den Ubuntu-Repositorys herunter und lassen das Installationsprogramm unter root code ausführen > (Sie wissen, sudo ), um es zu installieren. Wenn Ubuntu eines der Pakete manipulieren und eine Hintertür einschließen wollte, können sie dies, und Sie werden es wahrscheinlich nie erfahren.

Sie vertrauen implizit darauf, dass Ubuntu keine Hintertür in diese Pakete einschließt. P. >



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...